Bize Ulaşın: +90 212 371 8668 info@sibertis.com.tr

This post is also available in: English

KVKK/GDPR UYUMLULUĞU

Hizmetlerimiz > Danışmanlık Hizmetleri > KVKK Uyumluluğu

KVKK/GDPR DANIŞMANLIK HİZMETLERİ

24 Mart 2016 tarihinde yürürlüğe giren 6698 nolu kanuna göre her türlü kişisel veriyi işleyen gerçek ve tüzel kişiler kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumalıdır. Sibertis olarak KVKK kapsamında müşterilerimizi kanun hükümlerinden doğabilecek risklerden haberdar ederek ilgili kanuna hem legal olarak hem de teknoloji bakımından tam olarak uymalarını sağlıyoruz.

Bu bakımdan işletmelerin kişisel verileri işlenmesinde uyması gereken zorunluluklar aşağıdaki gibidir:

  1. Veri işleme yöntemlerinin hukuka ve dürüstlük kurallarına uygun olması
  2. Verilerin doğru ve gerektiğinde güncel olması
  3. Verilerin belirli, açık ve meşru amaçlar için işlenmesi
  4. verilerin sadece işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması
  5. Verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar saklanması

Kanunun en önemli noktası kişisel verilerin işlenmesi için ilgili açık rızanın alınması ve bu onayın kayıt altına alınmasıdır. Diğer bir önemli nokta ise kişisel verilerin işlemek için işletme tarafından yetkilinin atanması ve tüm işlemlerin ilgili yetkilinin sorumluluğunda olmasıdır. Başka bir deyişle herhangi bir kişisel veri ilgili yetkilinin yazılı onayı olmadan herhangi bir başka kişiye ya da kuruluşa aktarılamaz. İlgili yetkili, kanun hükümleri çerçevesinde verileri saklamaktan ve verilerin barındırıldığı sistemlerin güvenliğinden ‘tam’ olarak sorumludur.

Burada dikkate alınması gereken diğer bir konu ise ülkemizde düzenlenen KVK kanununun Avrupa Birliği tarafındaki karşılığı olan General Data Protection Regulation (GDPR)‘ın da paralel olarak uygulanmasıdır. Bu kanun kapsamında örneğin bir AB vatandaşının kişisel bilgileri izinsiz olarak saklanamaz ve işlenemez.

UYUM SÜRECİ

KVK Kanunu Uyum Sürecinin 3 temel tarafı bulunuyor:

Hukuk

Mevzuatların, Sözleşmelerin, Politikaların belirlenmesi

Süreç

İşlenecek verilerin tespiti ve iş süreçlerinin, prosedürlerin belirlenmesi

Teknoloji

Veri tabanı kayıt kurallarının denetlenmesi, kayıtların saklanması, ilgili çözümlerin tedarik edilmesi

Uyum sürecindeki belki de en önemli konu yapısal ve yapısal olmayan veri envanterlerinin tespiti ve işlenmesidir. Yapısal veri belirli bir formatta saklanabilen veri türüdür. Örnek olarak İK özlük dosyalarında yer alan isimler, doğum tarihleri, TC kimlik numaraları gibi veriler gösterilebilir. Yapısal olmayan yani belli düzende olmayan veriler ise özgeçmişler, Word, Excel gibi elektronik dokümanlar, mesajlaşma uygulamaları, taranmış dokümanlar, her türlü ses ve video kayıtları olarak gösterilebilir.

Bu bağlamda ilgili verilerin çok gizli, gizli veya halka açık gibi sınıflandırılması önemlidir. Sınıflandırılan verilen şirket içerisinde dolaşımı ya da şirket dışına çıkartılması belli kuralları içermelidir.     

UYUM SÜRECİNİN HUKUKİ ve BT UYGULAMALARI

Hukuki Süreç - KararBT Uygulaması
Beyan YükümlülüğüBeyan verisinin toplanması, kayıtların saklanması (örn: web sitesi, giriş uyarı sayfası, çerez kullanımı)
Açık Rıza AlınmasıAçık rıza verisinin toplanması, kayıtların saklanması (örn: kullanım sözleşmesi, gizlilik sözleşmesi)
Onay Alınmayan Kişisel Verilerin Yok EdilmesiVeritabanından ilgili bilgilerin kaldırılması, kullanıcı uyarıları
Veri Aktarımı Güvenli aktarım, kriptolama, sınıflandırma, yetkilendirme
Veri Aktarımı KurallarıBilgi güvenliği, ağa erişimin sınırlandırılması, buluta veri aktarılması kurallarının düzenlenmesi
Veri Güvenliği, Koruma
Erişim kontrolleri, kimlik doğrulama, yetkilendirme, hesap tutma
Kişisel Veri SorgulamaKayıtlar (log) işleme, yönetme

KANUN KAPSAMINDA DEĞERLENDİRİLEBİLECEK ÇÖZÜMLER

Kanun kapsamında gerekli olan çözümler açıkça belirtilmemiş olsa da hukuki süreçlerin ve kararların karşılanması için işletmelerde aşağıdaki çözümlerin bulunmasını öneriyoruz: 

Bilgi Güvenliği

İlgili sunucuların ve son kullanıcıların zararlı yazılımlara karşı korunması

Zafiyet Yönetimi

Güvenlik açıklarının belirlenmesi, analizi ve raporlanması

Sızma Testleri (Pentest)

Periyodik olarak sızma testlerinin yapılması, ilgili açıkların düzeltilmesi

Ağ Erişimi Kontrolü

Çalışanların, misafirlerin ya da iş ortaklarının şirket ağına katılım kuralları, yetkilendirme, doğrulama, güvenli katılım

Veri Sınıflandırma

İlgili sunucuların ve son kullanıcıların zararlı yazılımlara karşı korunması

Veri Kaybı Önleme

Verilerin şirket dışına çıkarılmaması ya da çıkarılması durumunda uygulanması gereken kurallar

Veri Maskeleme

Veri tabanları içindeki hassas veya gizli verilerin yetkisi olmayan ya da kısıtlı olan kişilerce görülmesinin engellenmesi (yıldızlama gibi)

Veri Saklama

İlgili sunucuların ve son kullanıcıların zararlı yazılımlara karşı korunması

SİBERTİS OLARAK KATKILARIMIZ

Sibertis olarak gerekmesi durumunda tüm legal ve iş süreçleri de dahil olmak legal taraftaki iş ortaklarımızla birlikte tüm uyumluluk sürecini baştan sona sağlayabiliriz. Bu kapsamda aşağıda sıralanan hizmetleri sağlayabiliriz:

  1. KVKK yükümlülüklerinin uygulanması ve yönetilmesi
  2. İş süreçlerinin belirlenmesi ve yönetilmesi
  3. Legal danışmanlık (iş ortaklarımız aracılığıyla)
  4. Teknolojik çözümlerinin belirlenmesi ve uygulanması

Bizimle İletişime Geçin

11 + 7 =

 

İstanbul Genel Merkez

Esentepe Mah. Büyükdere Cad. Tekfen Kulesi 8. Kat Levent 34394 Şişli/İstanbul

Tel: 0 212 371 8668

Ataşehir Operasyon Merkezi

Vedat Günyol Cad. Flora Plaza 23. Kat Ofis No: 2302 Ataşehir/İstanbul

Ortadoğu Bölge Ofisi - Dubai

Emirates Towers, Sheikh Zayed Road, Level 41, PO Box: 31303 Dubai/UAE

Tel: +971 4 319 7359

info@sibertis.com.tr